Integration von UCS in eine bestehende Samba Domäne

samba-ad
ad-connection
samba4
ldap

#1

Hallo zusammen,

ich möchte UCS in unsere bestehende Infrastruktur integrieren. Für UCS als eigenständiger Domain-Server oder UCS an einem Active Directory gibt es im App-Katalog passende Apps. Wie sieht es aber aus, wenn ich UCS in eine bestehende Smaba-Domain integrieren möchte und UCS als Slave arbeiten soll? Gibt es hierzu schon Lösungen?

I want to integrate UCS into our existing infrastructure. For UCS as a standalone domain server or UCS as slave an Active Directory, there are apps in the App Catalog. But what about if I want to integrate UCS into an existing Smaba domain? UCS should work as a slave Domain Controller? Are there already any solutions for this?

Ich sage schon einmal Danke für die Hilfe!

Viele Grüße
Tom


#2

Huhu,

erst mal: Begrifflichkeit.

Was verstehen Sie hierunter? Im Kontext von ActiveDirectory-Domänen gibt es den Begriff “slave” so nicht. Den Begriff gibt es nur im Kontext von UCS-Domänen, und eine UCS-Domäne muss immer zwingend aus mindestens einem UCS DC Master bestehen. Zusätzlich können UCS DC Slaves benutzt werden; primärer Einsatzzweck sind Standortserver.

Somit ergibt das oben zitierte und auch “UCS should work as a slave Domain Controller?” keinen Sinn.

Was nicht unterstützt wird: Joinen eines auf UCS laufenden Sambas als AD DC in eine bestehende AD-Domäne, egal, ob diese von Windows-basierten oder von Samba-basierten AD DCs betrieben wird (primär, weil es keine Lösung für die Synchronisation der GPOs zwischen den UCS-Samba-AD-DCs und den Nicht-UCS-AD-DCs gibt).

Was aber durchaus unterstützt wird, ist die Anbindung einer UCS-Domäne an eine bestehende AD-Domäne über den AD-Connector (das ist das, was Sie mit “Für UCS als eigenständiger Domain-Server oder UCS an einem Active Directory gibt es im App-Katalog passende Apps.” angesprochen haben). Das sollte auch mit Samba-basierten AD-Domänen funktionieren. “Sollte”, da die Funktion “AD Takeover” (also das Migrieren einer AD-Domäne von Nicht-UCS-AD-DCs zu UCS-AD-DCs) ebenfalls über den AD-Connector realisiert wird und dieser Weg durchaus mit Linux-/Samba-basierten AD-Domänen beschritten wird (z.B. Zentyal und ähnliche Distributionen, die man durch UCS ablösen möchte).

Gruß
mosu


#3

Hallo mosu,

vielen Dank für die Antwort. Mit den Begrifflichkeiten war ich nicht ganz so pingelig, sorry! Ich dachte mir, dass man es so am besten versteht, da wir hier im UCS Forum sind.

Das Szenario soll so sein, dass UCS ein untergeordnetes Mitglied einer bestehenden Samba-Domäne werden soll, mit einem automatischen Abgleich (Synchronisation) zwischen Samba DC und UCS inklusive verschlüsselter Passwörter, Gruppendefinitionen und anderen Verzeichnisdienstobjekten. Leider kann der AD-Connector das nur mit einem Microsoft AD DC. Da der UCS selbst kein fertiges Modul dazu bietet, wollte ich hier nach Hilfe bzw. Erfahrungen fragen.

Die Funktion AD Takeover funktiniert leider auch nur mit einem Microsoft AD DC. Falls Sie andere Erfahrungen gemacht haben, wäre ich sehr interessiert, da der UCS-Support selber sagt, dass die Module nur für Microsoft AD DCs entwickelt wurden.

Viele Grüße
Tom


#4

Huhu,

Leider sind die Begrifflichkeiten hier sehr, sehr ähnlich und bezeichnen doch grundverschiedene Dinge. Den Begriff »Domain Controller« (bzw. »DC«) gibt es sowohl für UCS als auch für Active Directory. Die Begriffe »Master« und »Backup« gibt es ausschließlich für UCS, nicht aber für Active Directory (dort ist ein Server ein DC oder er ist es nicht, und alle DCs sind per se erst mal gleichberechtigt), wohl aber für die alten NT-Domänen (die UCS-seitig inzwischen nicht mehr unterstützt werden — aber bis vor ein, zwei Jahren wurden sie noch häufig verwendet, und da war das noch viel verwirrender mit den Begriffen). Den Begriff »Slave« gibt es nur für UCS. Einen »Slave« in eine »AD-Domäne« zu joinen, ergibt auch nur dann sinn, wenn der UCS DC Slave auch tatsächlich die Samba-AD-Komponenten mit installiert hat, was nicht zwingend der Fall ist.

Um hier Missverständnisse zu vermeiden und gestellte Fragen fachlich korrekt und damit hilfreich beantworten zu können, ist daher gerade bei diesem Thema Präzision unerlässlich.

Entwickelt wurden sie für Windows-ADs, ja, aber trotzdem wurde der Takeover-Prozess (und damit der AD-Connector) schon sehr oft zusammen mit Samba-AD-DCs eingesetzt, siehe z.B. hier.

Wie bereits erwähnt, wird ein echter AD-Domänen-Join eines UCS-Sambas als AD DC in ein Nicht-UCS-Samba-AD (genauer: der gleichzeitige Betrieb von UCS-Samba-AD-DCs mit Nicht-UCS-AD-DCs) nicht unterstützt. Der AD-Connector ist da eigentlich die einzige Variante außerhalb von echter Übernahme der Domäne durch UCS.

Gruß
mosu


#5

Hallo,

ein AD-Takeover bringt mich ja leider nicht zum Ziel. Der UCS soll ja ein untergeordnetes Mitglied eines bestehenden Samba AD DCs sein. Ein Takeover ist ja schon eine Migration von Objekten von einem nativen AD DC zu UCS. Weil UCS, wie ich ja bereits geschrieben hatte, dies von Haus aus nicht mitbringt, wollte ich hier nach möglichen Lösungsansätzen fragen.

Am Besten beschreibe ich mal das, was ich umsetzen möchte. Wir haben in unserer Infrastruktur einen Samba AD DC, der auf einem Ubuntu Server läuft. Das ist aber nicht alles, sonst könnte man tatsächlich auch über eine Migration nachdenken. Unser System ist schon sehr komplex.

Der Server ist eigentlich ein Hostsystem (auf Basis von Ubuntu 16.04 LTS) und einer Virtualisierung auf Basis von LXC. Das Zusammenspiel und die Updates der einzelnen Module werden durch das System- und Konfigurations-Management Puppet gemanagt. Was da im Einzelnen Läuft ist ja erstmal nicht so wichtig.

In einem anderen Netzwerk, wo lediglich ein Verzeichnisdienst erforderlich ist, haben wir UCS als AD-DC laufen und nutzen seit ein paar Wochen auch den Office 365 Connector. Da dieses Kombination sehr stabil funktiniert würden wir gerne genau das auch in dem anderen Nentwerk integrieren. Dazu muss UCS allerdings als untergeordnetes Mitglied an einen bestehenden Samba AD-DC angebunden werden. Und genau hierzu suche ich nach einer Lösung, da ich bisher nichts passendes gefunden habe.

Viele Grüße
Tom


#6

Moin,

schon klar, daher meinte ich: den AD-Connector einfach mal ausprobieren. Nicht mit Ziel eines Takeovers, sondern mit Ziel, dauerhaft eine Synchronisation zwischen dem Nicht-UCS-Samba-AD und dem UCS-Samba-AD zu implementieren.

m.


#7

Hi,

Den AD Connector hatte ich schon ausprobiert, der bricht leider immer mit Fehlermeldungan ab :frowning:

Viele Grüße
Tom


#8

Huhu,

verstehe. Dann wird es keinen unterstützten Weg für so eine Kopplung geben.

Gruß
mosu